Heyho alle zusammen.

Nachdem ich einige Streifzüge durch alle möglichen Internetseiten und Foren vollzogen hab und nich wirklich ne gefunden hab, frag ich einfach mal euch.

Ich besitze ein MSI Megabook GX700
Auf dem Desktop befindet sich eine Datei namens Click Me, die auch nur mit der Sicherheitsabfrage ausgeführt werden kann.
Die Datei hat sich schon beim allerersten Start auf dem Desktop befunden und erscheint bei jedem Neuaufsetzen auch dort wieder.
Wenn man sie ausführt, tut sich rein gar nix und die Datei verschwindet einfach.

Wie ich in anderen Foren schon gelesen hab, scheint sich diese Datei auch auf allen anderen Notebooks von MSI und auch von anderen Herstellern zu befinden.

Die Datei scheint kein Virus zu sein und auch sonst keine schädlichen Auswirkungen zu haben, daher frage ich mich natürlich für was diese Datei gut sein mag

Hat vllt einer von euch ne Ahnung?

Gruß
Metal

Hallo,

besonders vertrauenswürdig sieht diese Datei auf dem ersten Blick nach nicht aus. Bitte diese Liste beachten und abarbeiten.

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

ich hab die Datei noch gar nicht ausgeführt, da ich schon allein den Namen abschreckend finde

kann die datei jedoch uploaden, wenn du sie untersuchen willst^^

Ja, okay, dann bitte bei Virustotal. Ergebnisse komplett und inkl. Prüfsummen dann bitte posten.

MD5: 6c48bc9628bfa5f5c127952bc7d27068
First received: 2007.10.27 18:03:12 UTC
Datum 2009.08.20 19:44:56 UTC [>12D]
Ergebnisse 1/41
Permalink: analisis/3101ed695ba1b9deb4a68b22c63d1f30b075eb2e34314e59bf16320310cf0e94-1250797496

Code: Alles auswählenAufklappen

ATTFilter

 Datei Click_Me.exe empfangen 2009.09.02 19:27:09 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 1/41 (2.44%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit ist zwischen 52 und 75 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared	4.5.0.24	2009.09.02	-
AhnLab-V3	5.0.0.2	2009.09.02	-
AntiVir	7.9.1.7	2009.09.02	-
Antiy-AVL	2.0.3.7	2009.09.02	-
Authentium	5.1.2.4	2009.09.02	-
Avast	4.8.1335.0	2009.09.01	-
AVG	8.5.0.409	2009.09.02	-
BitDefender	7.2	2009.09.02	-
CAT-QuickHeal	10.00	2009.09.02	-
ClamAV	0.94.1	2009.09.02	-
Comodo	2173	2009.09.02	-
DrWeb	5.0.0.12182	2009.09.02	-
eSafe	7.0.17.0	2009.09.02	-
eTrust-Vet	31.6.6716	2009.09.02	-
F-Prot	4.5.1.85	2009.09.01	-
F-Secure	8.0.14470.0	2009.09.02	-
Fortinet	3.120.0.0	2009.09.02	-
GData	19	2009.09.02	-
Ikarus	T3.1.1.68.0	2009.09.02	-
Jiangmin	11.0.800	2009.09.02	-
K7AntiVirus	7.10.834	2009.09.02	-
Kaspersky	7.0.0.125	2009.09.02	-
McAfee	5728	2009.09.02	-
McAfee+Artemis	5728	2009.09.02	-
McAfee-GW-Edition	6.8.5	2009.09.02	-
Microsoft	1.5005	2009.09.02	-
NOD32	4390	2009.09.02	-
Norman		2009.09.02	-
nProtect	2009.1.8.0	2009.09.02	-
Panda	10.0.2.2	2009.09.02	-
PCTools	4.4.2.0	2009.09.02	-
Prevx	3.0	2009.09.02	-
Rising	21.45.14.00	2009.09.01	-
Sophos	4.45.0	2009.09.02	-
Sunbelt	3.2.1858.2	2009.09.01	Trojan.Win32.Generic!BT
Symantec	1.4.4.12	2009.09.02	-
TheHacker	6.3.4.3.395	2009.09.02	-
TrendMicro	8.950.0.1094	2009.09.02	-
VBA32	3.12.10.10	2009.09.01	-
ViRobot	2009.9.2.1914	2009.09.02	-
VirusBuster	4.6.5.0	2009.09.02	-
weitere Informationen
File size: 167936 bytes
MD5...: 6c48bc9628bfa5f5c127952bc7d27068
SHA1..: 9a2a13dfbcd2c00c43b3104942dee3fae9ad53b6
SHA256: 3101ed695ba1b9deb4a68b22c63d1f30b075eb2e34314e59bf16320310cf0e94
ssdeep: 3072:1q5t6fbCpWnS8veAhT0PNs/otiszj2qGZpteDV:0KGp6S8vLhgEowW2ZcV
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xca1f
timedatestamp.....: 0x464801b6 (Mon May 14 06:29:10 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1d77a 0x1e000 6.62 248b87dfbca9cea537b2405aef2049fe
.rdata 0x1f000 0x67ea 0x7000 4.81 e18b3a6b0553792a505a9c0b5ad21dbf
.data 0x26000 0x58b4 0x2000 3.73 efea3849328e6163436ca9d25a76493b
.rsrc 0x2c000 0x2c8 0x1000 3.79 0cba0a53b59b35916c1ff9c1562dc567

( 9 imports )
> KERNEL32.dll: GlobalFlags, GetLocaleInfoA, GetCPInfo, GetOEMCP, GetCurrentDirectoryA, HeapFree, HeapAlloc, VirtualAlloc, HeapReAlloc, GetCommandLineA, GetProcessHeap, RtlUnwind, RaiseException, HeapSize, ExitProcess, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, HeapDestroy, HeapCreate, VirtualFree, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, GetStartupInfoA, QueryPerformanceCounter, GetTickCount, GetSystemTimeAsFileTime, GetACP, GetTimeZoneInformation, GetDriveTypeA, Sleep, GetConsoleCP, GetConsoleMode, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, SetEnvironmentVariableA, GetCurrentThreadId, GlobalAddAtomA, GlobalFindAtomA, GlobalDeleteAtom, lstrcmpW, GetVersionExA, lstrcmpA, GlobalGetAtomNameA, TlsFree, DeleteCriticalSection, LocalReAlloc, TlsSetValue, TlsAlloc, InitializeCriticalSection, GlobalHandle, GlobalReAlloc, EnterCriticalSection, TlsGetValue, LeaveCriticalSection, LocalAlloc, InterlockedIncrement, GetCurrentProcessId, GetFileTime, GetFileAttributesA, FreeLibrary, InterlockedDecrement, GetModuleHandleA, GlobalFree, GlobalAlloc, GlobalLock, GlobalUnlock, FormatMessageA, LocalFree, FileTimeToLocalFileTime, FileTimeToSystemTime, FindNextFileA, GetProcAddress, GetFullPathNameA, GetVolumeInformationA, FindFirstFileA, FindClose, GetCurrentProcess, DuplicateHandle, GetThreadLocale, GetFileSize, SetEndOfFile, UnlockFile, LockFile, FlushFileBuffers, SetFilePointer, ReadFile, LoadLibraryA, SetLastError, GetVersion, CompareStringA, GetLastError, InterlockedExchange, CompareStringW, lstrlenA, WriteFile, CreateFileA, GetModuleFileNameA, GetTempPathA, CloseHandle, MultiByteToWideChar, FindResourceA, LoadResource, LockResource, SizeofResource, GetStdHandle, WideCharToMultiByte
> USER32.dll: DestroyMenu, SetMenuItemBitmaps, GetMenuCheckMarkDimensions, LoadBitmapA, ModifyMenuA, EnableMenuItem, CheckMenuItem, SetWindowTextA, ValidateRect, RegisterWindowMessageA, LoadIconA, WinHelpA, GetCapture, SetWindowsHookExA, CallNextHookEx, GetClassLongA, GetClassNameA, SetPropA, GetPropA, RemovePropA, GetFocus, IsWindow, GetForegroundWindow, DispatchMessageA, GetDlgItem, GetTopWindow, DestroyWindow, GetMessagePos, PeekMessageA, MapWindowPoints, GetKeyState, SetForegroundWindow, GetClientRect, GetMenu, PostMessageA, CreateWindowExA, GetClassInfoExA, GetClassInfoA, RegisterClassA, AdjustWindowRectEx, CopyRect, PtInRect, GetDlgCtrlID, DefWindowProcA, CallWindowProcA, MessageBoxA, wsprintfA, CharUpperA, SetWindowLongA, SetWindowPos, SystemParametersInfoA, IsIconic, GetWindowPlacement, GetWindowRect, GetWindow, ClientToScreen, GetMessageTime, PostQuitMessage, GetSystemMetrics, GetSubMenu, GetMenuItemCount, GetMenuItemID, GetMenuState, UnhookWindowsHookEx, EnableWindow, IsWindowEnabled, GetLastActivePopup, GetWindowLongA, GetParent, SendMessageA, GetWindowThreadProcessId, GetSysColorBrush, GetSysColor, ReleaseDC, GrayStringA, DrawTextExA, DrawTextA, TabbedTextOutA, UnregisterClassA, GetWindowTextA, LoadCursorA, GetDC
> GDI32.dll: DeleteDC, PtVisible, CreateBitmap, GetStockObject, ScaleWindowExtEx, SetWindowExtEx, ScaleViewportExtEx, SetViewportExtEx, OffsetViewportOrgEx, SetViewportOrgEx, SelectObject, Escape, ExtTextOutA, TextOutA, GetDeviceCaps, DeleteObject, GetClipBox, SetMapMode, SetTextColor, SetBkColor, RestoreDC, SaveDC, RectVisible
> comdlg32.dll: GetFileTitleA
> WINSPOOL.DRV: ClosePrinter, DocumentPropertiesA, OpenPrinterA
> SHELL32.dll: ShellExecuteA
> SHLWAPI.dll: PathStripToRootA, PathIsUNCA, PathFindFileNameA
> ole32.dll: CoUninitialize, CoCreateInstance, CoInitialize
> OLEAUT32.dll: -, -, -

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
         

oO scheint wohl tatsächlich n Trojaner zu sein....aber wieso ist der schon von Anfang an auf dem Rechner installiert?

Nachdem Recovern ist die click_me.exe direkt da drauf?
Was sagen den die Version- und Herstellerinfos, wenn Du Dir die Eigenschaften anzeigen lässt über Rechtsklick auf die click-me.exe => Eigenschaft, Reiter Version?

wenn du den Reiter Details meinst, da steht nur
Typ Anwendung
Größe 164kb
Änderungsdatum 14.5.2007 08:29

mehr nicht

Kannst Du die Datei mal hochladen bei file-upload.net und hier verlinken? Ich teste die mal in einer VM.

http://www.file-upload.net/download-...ck-Me.exe.html


Bitteschön

ich hab den link mal unverändert, wenn ichs ändern soll, einfach nur kurz bescheid geben

Ich bekomm da nur ein Fehler "Application" not found. Ehrlich gesagt kann ich immer noch nicht eindeutig sagen, ob das Malware ist oder zu MSI gehört. Ich würde die Datei einfach löschen.

Hi,

Analyse von Click Me:

Code: Alles auswählenAufklappen

ATTFilter

http://www.sunbeltsecurity.com/cwsandboxreport.aspx?id=10365033&cs=2030156EDDBD659F2242CC0C88E12448
         

Geht über COM auf die svchost, was eigentlich kein gutes Zeichen ist...
Währe interessant sich die generierte Bat mal anzusehen...

chris

...und wie kann man die anschaun?^^

hab mal n bisschen rumgegooglet (schreibt man das so? ) und bin auf den Tip gestoßen das Endung mal in .txt umzuwandeln...da steht jetzt zwar einiges, aber kann damit nicht viel anfangen, vllt sagt das ja euch ein wenig mehr

(habs hier gefunden: h**p://forum-en.msi.com/index.php?topic=113010.0)

hat sich schon einer das Ding als Text genauer angeschaut?

(will ja nicht drängeln, weiss dass ihr viel zu tun habt^^)

Sorry gehört nicht zum Beitrag aber ich bin gespannt was das ist?
Wenn der Notebook vom laden kommt und die exe schon drauf ist?
Wie krass ist das den?

Vielleicht gibt eine Virus Mafia Oo
Zwischen MSI und den Laden nimmt jemand die Lapis und installiert den
Virus auf jeden neuen Notebook, damit sich der Virus schneller verbreitet Oo

Jetzt habe ich in Titel für ein Krimie:
"Die Virus MSI Notebook Mafia"


Da ich bald mein Rechner neuaufsetzte habe ich die exe ins txt umgewandelt
Das hier kommt raus:

Code: Alles auswählenAufklappen

ATTFilter

[.....]Eä‹E‰Eè‹E‰Eì‹E ‰Eðƒeô ƒeø ƒeü ‰eô‰mød¡    ‰EØ�EØd£    ÇEÈ
   ‹E‰EÌ‹E‰EÐèßi  ‹€€   ‰EÔ�EÌP‹Eÿ0ÿUÔYYƒeÈ ƒ}ü td‹    ‹‹]؉d‰    ë	‹EØd£    ‹EÈ[ÉÃU‹ìQSü‹E‹H3MèŽîÿÿ‹E‹@j j j j j �EüPh#
  è¥þÿÿƒÄ‹Eü‹]‹c‹k ÿà3À@ă}$ „µ   +u9u(v(Vÿuÿu(ÿu$è™
�EìP�E¸Pè߀  …ÀYÉÁYéÚ$  Q�L$+ȃáÁÉÁYéÄ$  ‹…ö…nûÿÿ¶pè¶Qè+òt3Ò…öŸÂ�Tÿ‹ò…ö…Mûÿÿ¶pé¶Qé+òt3Ò…öŸÂ�Tÿ‹ò…ö…,ûÿÿ¶pê¶Qê+òt3Ò…öŸÂ�Tÿ‹òë3ö…ö…ûÿÿ‹Pë;Qët}¶ò¶Që+òt3Ò…öŸÂ�Tÿ‹ò…ö…ßúÿÿ¶pì¶Qì+òt3[.....]
         

Das könnte evtl. interessant sein:

Code: Alles auswählenAufklappen

ATTFilter

[...]An application has made an attempt to load the C runtime library incorrectly.
Please contact the application's support team for more information.
      R6033
- Attempt to use MSIL code from this assembly during native code initialization
This indicates a bug in your application. It is most likely the result of calling an MSIL-compiled (/clr) function from a native constructor or from DllMain.
  R6032
- not enough space for locale information
      R6031
- Attempt to initialize the CRT more than once.
This indicates a bug in your application.
  R6030
- CRT not initialized
  R6028
- unable to initialize heap
    R6027
- not enough space for lowio initialization
    R6026
- not enough space for stdio initialization
    R6025
- pure virtual function call
   R6024
- not enough space for _onexit/atexit table
    R6019
- unable to open console device
    R6018
- unexpected heap error
    R6017
- unexpected multithread lock error
    R6016
- not enough space for thread data
 
This application has requested the Runtime to terminate it in an unusual way.
Please contact the application's support team for more information.
   R6009
- not enough space for environment
 R6008
- not enough space for arguments
   R6002
- floating point not loaded
    Microsoft Visual C++ Runtime Library    

  ... <program name unknown>  Runtime Error!

Program:    EncodePointer   KERNEL32.DLL    DecodePointer   FlsFree FlsSetValue FlsGetValue FlsAlloc    
	

 !"#$%&'()*+,-./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_`abcdefghijklmnopqrstuvwxyz{|}~ =   KOA ¬/B cMA `—A bad exception   SunMonTueWedThuFriSat   JanFebMarAprMayJunJulAugSepOctNovDec    TZ  e+000      À~
PA   €ÿÿGAIsProcessorFeaturePresent   InitializeCriticalSectionAndSpinCount   GetProcessWindowStation GetUserObjectInformationA   GetLastActivePopup  GetActiveWindow MessageBoxA USER32.DLL   Complete Object Locator'    Class Hierarchy Descriptor'     Base Class Array'   Base Class Descriptor at (  Type Descriptor'   `local static thread guard' `managed vector copy constructor iterator'  `vector vbase copy constructor iterator'    `vector copy constructor iterator'  `dynamic atexit destructor for '    `dynamic initializer for '  `eh vector vbase copy constructor iterator' `eh vector copy constructor iterator'   `managed vector destructor iterator'    `managed vector constructor iterator'   `placement delete[] closure'    `placement delete closure'  `omni callsig'   delete[]    new[]  `local vftable constructor closure' `local vftable' `RTTI   `EH `udt returning' `copy constructor closure'  `eh vector vbase constructor iterator'  `eh vector destructor iterator' `eh vector constructor iterator'    `virtual displacement map'  `vector vbase constructor iterator' `vector destructor iterator'    `vector constructor iterator'   `scalar deleting destructor'    `default constructor closure'   `vector deleting destructor'    `vbase destructor'  `string'    `local static guard'    `typeof'    `vcall' `vbtable'   `vftable'   ^=  |=  &=  <<= >>= %=  /=  -=  +=  *=  ||  &&  |   ^   ~   ()  ,   >=  >   <=  <   %   /   ->* &   +   -   --  ++  *   ->  operator    []  !=  ==  !   <<  >>   delete  new    __unaligned __restrict  __ptr64 __clrcall   __fastcall  __thiscall  __stdcall   __pascal    __cdecl __based(        0B (B B B B øB ìB äB ØB ÌB ] B B ôB àB[...]
         

Und villeicht das hier: (steht ganz unten)

Code: Alles auswählenAufklappen

ATTFilter

[...]<requestedExecutionLevel level="requireAdministrator" uiAccess="false"></requestedExecutionLevel>
        </requestedPrivileges></ms_asmv3:security></ms_asmv3:trustInfo></assembly>PAPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXX[...]
         

*Uraltthread rauskram*

Is schon jemand schlauer draus geworden?^^

Mich lässt die Frage einfach nicht in Ruhe